Защита АСУ ТП - пора действовать

Безопасность АСУ
ТП: от слов к делу

Алексей Лукацкий
Бизнес-консультант по безопасности, Cisco

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/110

Что такое АСУ ТП?

В России еще ГАС «Выборы», кадастры и все, что
влияет на национальную безопасность

Сначала я хотел говорить об угрозах и
тенденциях в АСУ ТП
 Потеря производительности
 Штрафы
 Судебные иски
 Потеря общественного
доверия
 Потеря капитализации
 Выход из строя оборудования
 Нанесение ущерба
окружающей среде  Взрыв газопровода СССР, 1982
 Ущерб здоровью  Нефтепровод в Bellingham США, 1999
 Человеческие жертвы  Очистные сооружения Австралия, 2001
 АЭС Davis Besse США, 2003
 Сеть электроэнергии США, 2003
$$$.$$  АЭС Browns Ferry США, 2006
 Обогатительные заводы в Иране, 2010

Отказ на Taum Sauk
 Гидроаккумулирующая
электростанция Taum
Sauk

 АСУ ТП зафиксировала
некорректный уровень воды
 Насосы продолжали работать
 Дамба переполнилась и размылась

Взрыв нефтяной цистерны в
Бансфилде

 Измерение
уровня топлива
«зависло»
 Измерительная
система
показала
аномалию
 Закачка
продолжалась
 Цистерна
переполнилась
 Резервная система безопасности отказала

Взрыв трубы в Вашингтоне


Червь на атомной электростанции


Взлом иных типов АСУ ТП


Недавние события

Хакеры получили несанкционированный доступ к
компьютерным системам водоочистных сооружений в
Харрисбурге, шт. Пенсильвания, в начале октября
2006 года. Ноутбук сотрудника была взломан через
Интернет, затем он использовался как точка входа для
доступа к административным системам и установки
вирусов, троянских и шпионских программ.

На конференции Federal Executive Leadership
Conference в Вильямсбурге, штат Вирджиния,
представитель спецслужбы подтвердил
200 представителям правительства и
промышленности, что злоумышленники вторгались в
системы нескольких организаций, составляющих
национальную инфраструктуру, и требовали выкуп,
угрожая отключить системы. Поставщики
коммунальных услуг в США не подтверждали и не
отрицали факты подобного шантажа.


Зарубежные покупки Китаем активов
ТЭК и кибератаки на них
Purchase of major stake in Kazakh oil company

Purchase of Rumaila oil field, Iraq, at auction

McKay River and Dover oil sands deal with Athabasca, Canada
LNG deal with QatarGas
Aggressive bidding on multiple Iraqi oil fields at
LNG deal with QatarGas auction
Purchase of major stake in a second Kazakh oil company
Shady RAT (
LNG deal with Shell Night Dragon
U.S.LNG deal with QatarGas China-Taiwan trade deal for petrochemicals
natural
gas LNG (Kazakhstan, Taiwan,
deal with Exxon
Development of Iran’s Masjed Soleyman oil
field
wholesaler) Greece,Phase 11 with
Finalization of South Pars
U.S.) Oil development deal with Afghanistan
Iran
Framework for LNG deal with Russia
LNG deal with Australia

LNG deal with Uzbekistan

LNG deal with Australia

Shale gas deal with Chesapeake Energy in Texas
LNG deal with France

2008 2009 2010 2011 2012 2013


Насколько велики риски?
 Сведения публикуются о менее чем 1% (0,25%) инцидентов
Возможен ущерб репутации и снижение котировок акций
 Риск = вероятность угрозы X возможные последствия
 Выбираемые цели характеризуются бóльшим ущербом,
чем легкодоступные цели
Ущерб < 100 000 долл. США Ущерб > 100 000 долл. США
4% Саботаж
8% Взлом
21% Саботаж
8% Прочее

12% Случайность

79% Случайность
68% ВПО

Источник: Eric Byres, BCIT 12/110
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public

Потом я хотел говорить о цикле PDCA
для АСУ ТП

 В мае 2006 года в рамках
Chemical Sector Cyber
Security Program советом
по ИТ химической
индустрии (Chemical
Information Technology
Council, ChemITC) в рамках
американского совета
химической индустрии были
предложены рекомендации
по информационной
безопасности в основу
которых легли стандарты
ISOIEC 17799 и ISA-TR99

Потом я хотел говорить о стандартах
безопасности АСУ ТП

 ISA SP99
 NERC CIP
 Guidance for Addressing Cyber Security in the Chemical
Industry
 NIST PCSRF Security Capabilities Profile for Industrial
Control Systems
 IEC 61784-4
 Cisco SAFE for PCN
 КСИИ ФСТЭК
 Стандарты Газпрома

И об этих

 IEEE 1402 «IEEE Guide for Electric Power Substation
Physical and Electronic Security»
 IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06
on Data and Communication Security»
 IEC 62351 «Data and Communication Security»
 FERC Security Standards for Electric Market Participants
(SSEMP)
 American Petroleum Institute (API) 1164 «SCADA
Security»
 Security Guidelines for the Natural Gas Industry


А еще об этих

 API Security Guidelines for
the Petroleum Industry
 API Security Vulnerability
Assessment Methodology for
the Petroleum and
Petrochemical Industries
 American Gas Association
(AGA) 12 Cryptographic
Protection of SCADA
Communications (4 части)
 NIST SP800-82 «Guide to
Industrial Control Systems
(ICS) Security»

Но проще почитать NIST SP800-82

 Общим руководством
по защите АСУ ТП и
выбору
необходимого
стандарта является
руководство NIST
SP800-82
Выпущен в июне 2011
года


Потом я хотел говорить об этом

В России такой документ должен появиться только в 2014-м году

В рамках Control Systems Security
Program

 Создание системы национального масштаба для
координации усилий государства и частного бизнеса
с целью снижения уязвимости и реагирования на
угрозы, связанные с системами управления
технологическими процессами, связанными с
национальной критической инфраструктурой


Но в условиях роста угрозы


Лучше сразу
перейти к делу


Топ10 рисков в АСУ ТП

1. Политики, процедуры, и культура ИБ неадекватны.
Руководство не уделяет внимание проблеме
защиты АСУ ТП. Персонал игнорирует тренинги по
защите АСУ ТП
2. Плохо проработанные дизайны сетей АСУ ТП
3. Удаленный доступ к АСУ ТП осуществляется без
аутентификации и авторизации
4. Стандартные механизмы системного
администрирования не включены в
администрирование АСУ ТП
5. Использование незащищенных беспроводных
соединений

Топ10 рисков в АСУ ТП

6. Недостаток выделенных каналов управления и
неадекватное нецелевое использование сети
сегмента АСУ ТП
7. Недостаток простых и понятных инструментов для
обнаружения и документирования аномальной
активности
8. Инсталляция ненужного ПО и железа на элементы
АСУ ТП
9. Управляющие системы и команды не
аутентифицируются
10. Неадекватно управляемая, разработанная и
внедренная система поддержка АСУ ТП

Три уровня нейтрализующих мер

• Механизмы,
Средний • ИБ-активности,
традиционные для не- поддерживающие и
ИТ/ИБ активностей • Начальные тактические расширяющие базовый
мероприятия, и средний уровень и
обеспечивающие могущие потребовать
реализацию дополнительной
управляемых защитных экспертизы
функций на базе ИБ-
активностей
Базовый Расширенный


1. Неадекватные политики и
процедуры

 Базовый
Заручитесь поддержкой руководства
Разработка и документирование политики кибербезопасности
Внедрение политик и процедур из государственных
стандартов по безопасности КВО

 Средний
Внедрение лучших индустриальных практик
Контроль выполнения политик и процедур

 Расширенный
Внедрение процесса непрерывного улучшения внедряемых
политик и процедур
Проведение периодических тренингов и аудитов

Документировать придется много


ТАК руководство не понимает
важности задачи

Сброс до
Соблюдение Сброс до выше чем Катастрофа Сброс до выше чем
нормальной скорости нормальная скорость с1410 до 2 и новой нормальной нормальная скорость
(807-1210 Hz) (1410 Hz) опять до 1064 Hz (1064 Hz) (1410 Hz)
1500
Скорость в Hz

1000

500
Норма Стресс Новая норма Стресс
0 Фаза I Фаза II Фаза III Фаза IV Фаза II
~ 12.8 дней ~ 27 дней 15 или 50 минут ~ 27 дней ~ 27 дней

Начало
заражения


А ТАК совсем другое дело

Каскады в Натанзе, Объем: Общее число Удача: Каскады
2007-2012 каскадов работающие

60

40

20 2009 – середина
2007 2008 После Stuxnet
2010
0
Феб-07 Июл-07 Дек-07 Май-08 Окт-08 Мар-09 Авг-09 Янв-10 Июн-10 Ноя-10 Апр-11 Сен-11 Фев-12

Подготовка Stuxnet 1.0 Stuxnet 2.0
Решение о цели
Разработка
методов внедрения Середина- Июнь 2010
Обкатка 2009 Публичное
Разработка кода Код открытие
Подготовка к появляется в Stuxnet
Flame? диком виде

Или вот так…


Пример 4-хчасового тренинга


Пример 4-мичасового тренинга


Пример политики


Где брать информацию об
уязвимостях?


2. Плохо проработанные дизайны

 Базовый
Внедрение электронного периметра и отключение всех
нетребуемых соединений
Составление и поддержка списка критических ресурсов

 Средний
Зонирование электронного периметра
Минимальное количество расшаренных ресурсов между
корпоративной сетью и АСУ ТП
Тренинги для сотрудников, вендоров, интеграторов

Внедрение VLAN, PVLAN, NIPS/HIPS, обнаружения
аномалий, интеллектуальных коммутаторов и т.п.

Зонирование по Cisco SAFE for PCN
Уровень 5 Enterprise Network
Зона
корпора-
Уровень 4 Email, Intranet, etc. Site Business Planning and Logistics Network тивной ЛВС

Terminal Patch AV
Services Mgmt Server

DMZ
Historian Web Services Application
(Mirror) Operations Server

Site Operations
МСЭ и
Production Optimizing Engineering
Уровень 3 Control Control
Historian
Station and Control IPS

Supervisory HMI Supervisory HMI Area
Уровень 2 Control Control Supervisory
Control ЛВС
АСУТП

Уровень 1 Batch
Control
Discrete
Control
Continuous
Control
Hybrid
Control
Basic
Control

Уровень 0 МСЭ и IDS Process


Логическая схема
 Зона корпоративной ЛВС содержит типичные бизнес
приложения
Почта, АСУП (ERP), Интернет, и т.п.
 Зона ЛВС АСУ ТП отделяет критичные системы АСУ ТП
Состоит из нескольких функциональных мини-зон
Опционально: МСЭ и IDS
 Зона DMZ обеспечивает связность
Содержит только некритичные системы, которым необходим
доступ к корпоративной ЛВС и ЛВС АСУ ТП
Обеспечивает разделение корпоративной ЛВС и ЛВС АСУ ТП
Состоит из нескольких функциональных мини-зон
Отделена межсетевыми экранами (МСЭ) и IPS


Граница
Пример DMZ периметра

Терминаль- Сервер Антивиру-
ный сервер обновле- сный
ний ПО сервер

Функцио-
нальные DMZ
мини-зоны

Прямого
обмена
Historian Web Сервер нет
Mirror Services приложений
Operations

Граница
периметра


Настраивая МСЭ, не забудьте

 Очень часто правила на МСЭ
Не имеют комментариев
Общие или упрощенные
Устаревшие и не удаляются
Многие без авторства/владельца или обоснования появления

 Регистрация не включена
Боязнь деградации производительности – надо было
тестировать ДО приобретения

 МСЭ разрешает прямое соединение к нему
 Одинаковые наборы правила для корпоративного
МСЭ и МСЭ в АСУ ТП

3. Удаленный доступ к АСУ ТП

 Базовый
Проработка соглашения с вендором об удаленном доступе
к АСУ ТП
Проверки персонала/вендоров/интеграторов с доступом к
критическим системам
Внедрение и документирование организационных
процессов
Разработка и внедрение политики управления
пользователями, включая парольную политику
Изменение всех паролей по умолчанию
Использование защищенного удаленного доступа (VPN,
SSH, SSL, IPSec, DTLS)
Контроль всех внешних соединений

Векторы атак
 В 50% случаев использовались подключения сети PCN
к корпоративной сети
 В 17% случаев использовались подключения сети PCN
к Интернету
3% Беспроводные сети
7% Сети VPN
7% Модем для коммутируемых линий

7% Телекоммуникационная сеть
10% Доверенное подключение
сторонних систем
(Включая зараженные ноутбуки,
рост продолжается)
17% Непосредственно Интернет
49% Корпоративная сеть

Источник: Eric Byres, BCIT 40/110

Эволюция угроз
 До 2000: внутренние угрозы
 2000—2005: ВПО – в основном, черви
 2006—2008: взлом ради выгоды
 2008+: кибервойны?

Типы инцидентов (1982—2000) Типы инцидентов (2001—2003)
31% Случайные 5% Внутренние
5% Прочие

31% Внешние 20% Случайные

38% Внутренние 70% Внешние



 Средний
Выделение удаленного доступа в отдельный сегмент
Уникальные идентификаторы и разные уровни доступа в
зависимости от потребностей
Аутентификация и авторизация удаленного доступа
Многофакторная аутентификация
Регулярный аудит методов удаленного доступа
Network mapping и war dialing для недекларированных
подключений
Специальные разделы в договорах с вендорами и
контраторами
Внедрение NIPS



Терминальный доступ
Внедрение NAC (Network Access Control) для удаленного
доступа


4. Системное администрирование в
АСУ ТП

 Базовый
Инвентаризация ПО и железа
Разработка и внедрение политики контроля качества ПО и
железа (покупка, поддержка, вывод из строя и т.д.)
Внедрение процесса управления обновлениями для ОС,
системного и прикладного ПО (отслеживание, оценка,
тестирование, инсталляция)
Документирование и внедрение процесса установки
обновлений для антивируса и IDS
Регулярный анализ прав доступа в связи с должностями
Управление правами уволенных пользователей
Изменение общих учетных записей с расширенными
привилегиями

Инвентаризация сети АСУ ТП

 Nmap
 MaxPatrol
 Afterglow
Создает карту сети на основе записанного сетевого
трафика

 Argus
Генерация сетевого трафика на базе pcap-файлов

 Поисковая система Shodan


Nmap по-прежнему в цене


Shodan – Google для хакеров


АСУ ТП

 Средний
Оценка и классификация приложений. Удаление ненужных
Кластеризация или дублирование компонентов АСУ ТП,
позволяющие установку обновлений без простоя АСУ ТП
Полное резервирование, а также наличие резервной
тестовой платформы
Договор с вендорами о возможности проверки целостности
новых релизов ПО
Управление логами для контроля и отслеживания истории
действий отдельных пользователей


АСУ ТП

Автоматическое удаление учетных записей для уволенных
пользователей или утерянных бейджей
Работа с вендорами для разработки и внедрения
формального процесса оценки качества ПО с целью
определения функциональных возможностей через
тестирование, сертификацию и аккредитацию
Тестирование на уязвимости
Ограничение числа пользователей с привилегиями
администратора
Ограничение общих/разделяемых учетных записей


Что включать в договора с
вендорами?

 Cyber Security
Procurement Language
for Control Systems
 Документ (145 стр.)
аккумулирует
принципы ИБ, которые
должны учитываться
при разработке и
приобретении АСУ ТП
и сервисов с ней
связанных
 Это рекомендация –
не стандарт

Средства анализа защищенности

 Отечественный и сертифицированный MaxPatrol
 Nessus
Есть дополнения для АСУ ТП (не всегда публичные)
Сертификат на Nessus истек
Тоже платный

 SCADA-аудитор (НТЦ «Станкоинформзащита»)
 Cyber Security Evaluation Tool (CSET)
Бесплатный; разработан US-CERT

 Средства моделирования атак
Metasploit


Расширения Nessus для АСУ ТП

 Matrikon OPC Explorer
 Matrikon OPC Server for ControlLogix
 Matrikon OPC Server for Modbus
 Modbus/TCP
Coil Access
Discrete Input Access Programming
Function Code Access

 National Instruments Lookout
 OPC DA Server/OPC Detection/OPC HDA Server



 Modicon
ModiconPLC CPU Type
PLC Default FTP Password
PLC Embedded HTTP Server
PLC HTTP Server Default Username/Password
PLC Telnet Server
IO Scan Status
Modbus Slave Mode

 ModiconPLC Web Password Status



 Siemens S7-SCL
 Siemens SIMATIC PDM – Siemens – Telegyr ICCP
Gateway - SiscoOSI/ICCP Stack-.
 SiscoOSI Stack Malformed Packet Vulnerability
 Tamarack IEC 61850 Server


Отечественный специализированный
сканер для АСУ ТП


Metasploit для АСУ ТП


Удаленный доступ к HMI

VNC payloads обеспечивает доступ к целевому узлу с HMI

Это не теория!
 В 2001 году австралийский хакер был
приговорен к 2 годам тюремного заключения
за свою атаку на систему управления
канализацией в Брисбене, которая привела
к сбросу 1 млн литров нечистот на
территории отеля Hyatt Regency Resort
 Витек Боден, сотрудник компании,
установившей компьютеры, запустил атаку в
качестве мести за то, что его не
восстановили на работе после увольнения
 Боден использовал ноутбук,
радиооборудование и программные
средства для проникновения в систему
управления канализацией и
перепрограммирования насосов.
Он был признан виновным в 46 случаях
взлома


Расширения Metasploit для АСУ ТП

 Модуль для Rockwell
 Модуль для GE
 Модуль для Schneider Electric
 Модуль для Koyo
 Модуль для WAGO

 Выпущены в апреле 2012 года


Взломать можно – использовать не
всегда!

HMI системы по выработке растительного масла

Иностранным хакерам тоже непросто


Пример: Idaho National
Lab

 Участвуют основные
вендоры
 Полнофункциональные
SCADA/PCS/DCS
 Взаимодействие между
системами ICCP
 Реальные конфигурации
 Удаленное тестирование
 Тестирование ИБ


Тестирование коммуникаций
в Idaho National Lab

 Единственный в Америке
(и мире) беспроводной
полигон размера
небольшого города
 9 базовых станций
 Поддержка 3G, 4G, Wi-Fi,
Land Mobilу Radio


Тестирование для энергетиков в Idaho
National Lab

 Собственная
электростанция на 138 кВ
 7 подстанций
 Возможность изоляции
части системы для
специальных тестов
 Централизованный
мониторинг в реальном
времени


5. Использование беспроводных

 Базовый
Разработка политики использования беспроводных
соединений (включая 3G и 4G)
Регулярная оценка рисков для беспроводных
соединений, включая подверженность DoS
Внедрите зашифрованные беспроводные
соединения везде, где возможно
Использование нешироковещательных SSID
GPS/Mobile
Внедрите процедуру отключения беспроводных Jammer
соединений в условиях его неиспользования в
момент нахождения в критическом сегменте


Беспроводные сети очертить сложнее



 Средний
Внедрение протокола 802.1x для аутентификации устройств
Включение ограничений по MAC
Используйте дизайн с направленными антеннами, там где
возможно
Внедрите технологии для обнаружения посторонних точек
доступа и клиентских устройств
Регулярно проводите анализ беспроводного сигнала для
идентификации границ беспроводного периметра
Беспроводные IDS



Обнаружение незарегистрированных по 802.1x устройств
Шифрование всего беспроводного трафика на
транспортном или прикладном уровне
Использование PKI и серверов сертификатов
Внедрение протокола 802.11i (WPA2)


6. Общие каналы для управления и
контроль сетевого трафика

 Базовый
Определение протоколов и приложений, доступных в сети
АСУ ТП. Устранение ненужных протоколов
Разделение функций по раздельным сегментам
Ограничение или запрет ненужного трафика и обеспечение
качество обслуживания

 Средний
Аутентификация всех точек и соединений с сегментом АСУ
ТП (технически или процедурно)
Внедрение IDS для мониторинга трафика

Внедрение систем обнаружения аномалий и реагирования
на вторжения

В АСУ ТП есть и проприетарные
протоколы

 ANSI X3.28  Modbus (Modbus+,
Modbus TCP и др.)
 BBC 7200
 OPC
 CDC Types 1 and 2
 ControlNet
 Conitel2020/2000/3000
 DeviceNet
 DCP 1
 DH+
 DNP 3.0
 ProfiBus
 Gedac7020
 Tejas3 and 5
 ICCP (IEC60870-6 или
TASE.2)  TRW 9550
 Landis & Gyr8979  UCA

Сегментация АСУ ТП

Функцио-
нальные WAN/LAN
мини-зоны Port Security
Site Operations
QoS
Production Optimizing Engineering
Уровень 3 Control Control
Historian
Station and Control Smart Ports

NAC
Supervisory HMI Supervisory HMI Area
Уровень 2 Control Control Supervisory
Control ЛВС
АСУТП

Уровень 1 Batch
Control
Discrete
Control
Continuous
Control
Hybrid
Control
Basic
Control

Уровень 0 Process

МЭ и IDS


7. Обнаружение и документирование
аномальной активности

 Базовый
Внедрение систем для мониторинга сетевого трафика
Сохранение и регулярный аудит логов
Профилирование нормального трафика
Внедрение меток времени для SIEM

 Средний
Обнаружение аномалий
Синхронизация времени в логах по GPS или NTP


Tcpdump/Wireshark для АСУ ТП


7. Обнаружение и документирование
аномальной активности

Внедрение долговременного хранилища для доказательств,
имеющих юридическую силу
Разработка и внедрение специфических для АСУ ТП
сигнатур
Работа с вендорами по разработке инструментов
идентификации подозрительного трафика АСУ ТП
Внедрение SIEM
Там где целесообразно, внедрение специализированных
защищенных операционных систем


Иерархия сигнатур для АСУ ТП

 Не забывайте, что в АСУ ТП есть и широко
распространенное системное и прикладное ПО
 Не забывайте, что АСУ ТП используют
преимущественно стек протоколов TCP/IP


Специализированные IPS для АСУ ТП

 На рынке существуют
специализированные
средства
предотвращения
вторжений для АСУ ТП
 Обратите внимание
Поддерживаемые
вендоры
Доступность в России
Сертификат вам нужен?!


Сигнатуры для АСУ ТП – можно и
самостоятельно
ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC

Сигнатура alert tcp !$MODBUS_CLIENT any ->
$MODBUS_SERVER 502
(flow:from_client,established; content:”|00 00|”;
offset:2; depth:2;
pcre:”/[Ss]{3}(x05|x06|x0F|x10|x15|x16)/iAR”;
msg:”Modbus TCP –Unauthorized Write Request to
a PLC”; reference:scada,1111007.htm;
classtype:bad-unknown; sid:1111007; rev:1;
priority:1;)
Резюме Неавторизованный Modbus-клиент попытался
записать информацию на PLC или иное
устройства
Воздействие Целостность системы
Отказ в обслуживании
Информация

Подверженные системы PLC и другие устройства с Modbus TCP сервером


Сообщение Unauthorized communications with HMI

Сигнатура alert tcp192.168.0.97 any <>
![192.168.0.3,192.168.10.21] any (msg:"HMItalking
to someone other than PLC or RTU -NOT
ALLOWED"; priority:1; sid:1000000; rev:1;)

Резюме Попытка неавторизованной системы
подключиться к HMI

Воздействие Компрометация системы


Подверженные системы PLC;RTU;HMI;DMZ-Web


Сообщение Unauthorized to RTU Telnet/FTP

Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23
(msg:”Unauthorized connection attempt to RTU
Telnet”; flow:from_client,established; content:”GET”;
offset:2; depth:2; reference:DHSINLroadshow-
IDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся
подключиться к RTU Telnet-серверу

Воздействие Сканирование
Компрометация системы управления

Подверженные системы RTU


8. Ненужное ПО

 Базовый
Разработка и внедрение политик установки ПО и железа
Разработка политик и процедур для управления изменениями
Разработка и внедрение процесса отслеживания и
инвентаризации железа
Обучение и повышение осведомленности персонала,
ответственного за поддержку и эксплуатацию АСУ ТП
Внедрение политик и процедур контролируемого доступа
аутентифицированных устройств к компонентам АСУ ТП (где
возможно)
Ограничение физического и электронного доступа на основе
ролей
Контролируйте автоматический останов ПО (при license expire)

8. Ненужное ПО

 Средний
Использование IDS и антивирусов
Разработка и внедрение политик использования внешних
носителей и периферийных устройств
Запрет всех ненужных портов ввода/вывода на всех
устройствах

Составление списка разрешенного ПО для каждой станции
и сервера. Контроль изменений


9. Команды и системы управления не
аутентифицируемы

 Базовый
Ограничьте соединения и изолируйте коммуникации
системы управления и сетевую инфраструктуру
Определите требования по целостности и аутентификации
данных управления

 Средний
Разработайте и внедрите политику управления
криптографическими ключами

Используйте, там где возможно, протоколы управления,
содержащие механизмы аутентификации и обеспечения
целостности данных без снижение производительности
(например, Secure DNP3 или DNPSec)

10. Неадекватная система поддержки

 Базовый
Определите текущую и желаемую инфраструктуру
поддержки и идентифицируйте разрыв
Включите систему поддержки в планы по непрерывности.
Периодически их тестируйте

 Средний
Разработайте и внедрите политики для поддержки

Внедрите меры, устраняющие разрыв, для достижение
заданного уровня поддержки/непрерывности


Физическую безопасность никто не
отменял


Парафраз о
защитных мерах


ИБ раньше не имела отношения к АСУ
ТП


Безопасность АСУ ТП vs ИТ-
безопасность
Вопросы ИБ Традиционные ИТ АСУ ТП

Антивирус Широкое применение / общая Сложно реализовать / на
практика практике применяется редко
Жизненный цикл технологий 3-5 лет До 20 лет и выше

Аутсорсинг Широкое применение / общая Редко используется
практика
Установка патчей Регулярно / по расписанию Долго и редко

Управление изменениями Регулярно / по расписанию Наследуемые системы
(плохая реализация
требования ИБ)
Контент, критичный ко Задержки принимаются Критично
времени
Доступность Задержки принимаются 24 х 7 х 365 (непрерывно)

Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБ

Аудит ИБ Планируется и реализуется Время от времени (после
третьей стороной сбоев)
Физическая безопасность Безопасности Очень неплохо, но часто
удаленно и автоматизировано

Средства защиты отстают –
используйте компенсационные меры

Возможности злоумышленников

Возможности защиты
Окно
уязвимости

Пока СЗИ нет, пусть АСУ ТП защищает
сама себя

Безопасность Безопасность как
как опция свойство системы

 Высокая сложность
 Сниженная сложность
 Высокая стоимость интеграции
 Простота развертывания и управления
 Риски ИБ не исключены
 Эффективное исключение рисков ИБ
 Низкая надежность
 Низкие показатели TCO


Что с сертификацией?

 Есть профиль защиты для PLC, RTU, IED
Для датчиков сертификация не нужна – они не являются
мишенью для атаки и не выполняют защитных функций
HMI также не выполняют защитных функций

 В России этот профиль не переведен и не
используется
 Есть система сертификации «ГАЗПРОМСЕРТ»
В т.ч. и средств защиты

 Есть прецедент сертификации оборудования для
Smart Grid по требованиям безопасности ФСТЭК
Cisco Connected Grid Router (CGR) и Connected Grid Switch
(CGS)

Квалификация


Русские хакеры в Иллинойсе

 Ноябрь 2011: Спрингфилд, Иллинойс объявляет о
выводе из строя водонапорной станции,
атакованной русскими хакерами
 Впоследствии оказалось, что это «мирный» отказ
насоса
ФБР и DHS обнаружили: “русским хакером” был инженер, в
отпуске получивший удаленный доступ к SCADA

 Извлеченный урок: Изучение логов и событий без
понимания АСУ ТП (ее основ, принципов работы,
протоколов и т.п.) может привести к неправильным
решениям и ошибкам


Знаем ли мы АСУ ТП с точки зрения
ИБ?

Цель: отключить город от
электричества


Знаем ли мы что атакуют
в АСУ ТП?
HMI
software
Несколько Human-Machine Interfaces
(HMI)
(компьютерные экраны и кнопки для людей)
HMI
“Lightboard” HMI
Много Programmable Logic Controllers (PLC)
device
(ожидающая система и принимающая решения)

PLC RTU
Сотни Remote Terminal Units (RTU)
(чтение сенсоров и контроль переключателей и
клапанов/вентилей) RTU

Процесс: Много тысяч переключателей, клапанов,
и датчиков (температура, давление , поток и т.д.)


Учитывайте специфику: датчики
обычно не атакуют

 Дискретные сенсоры
Выполняется условие или нет
Высокий или низкий уровень угрозы

 Аналоговые сенсоры
Конвертация непрерывных
параметров (температура или поток)
в аналоговый сигнал

 Сенсоры ничего не знают о
процессе, который может быть
атакован или о системе, которая
может быть скомпрометирована
«Оцифровка» сигнала
осуществляется RTU, PLC, IED

И вновь о русских хакерах в
Иллинойсе

 Через несколько часов после заявления ФБР и DHS
об отсутствии «русского следа» и неуязвимости
насоса системы водоснабжения


И вновь о русских хакерах в
Иллинойсе


Что означает квалификация в области
ИБ для АСУ ТП?

Низкая квалификация “Обычная” квалификация Высокая квалификация

Больше Скорейшее
возможностей обнаружение
для атак до того, означает, что вы
как обнаружат долго будете
преступника находиться вне
радара
злоумышленников 98/110

Но специалистов по ИБ для АСУ ТП в
России почти нет!

ИТ-специалисты

ИБ-специалисты Специалисты
АСУ ТП

Специалисты по ИБ АСУ ТП


С чего можно начать прямо сейчас?!


Не забывайте
будущее АСУ ТП


Домашняя АСУ ТП
Cisco Home Energy
Controller (CGH-100)
• Экран Touch screen
• Поддержка WiFi / Ethernet
• Smart Energy Profile certified
Zigbee interface
• Управление из облака


Домашняя АСУ ТП
Использование Термостат Как экономить?

Реакция на потребности Счет Контроль техники


Управление АСУ ТП из облака
Ключевые элементы
• Cisco Home Energy Controller (HEC)
• Appliances and Peripherals
• Smart Meter
• Опыт пользователя
• Cloud CPE3rd Party B2B Feeds
Services
(Retail Energy
Providers, Google,
Microsoft)
Smart
Plugs/
Smart
Services
Appliances/ HEC
PCT Provisioning &
Mgmt System

Cisco Cloud Services
Electricity

Broadband Utility Portal
Gas Network Energy
Cisco Home Energy Database
Controller
Water (HEC)
Utility
Network DRMS &
Heat
Pluggable Electric Vehicle Utility Utility Portal
Smart Meters Analytics Remote
Access


Облачная АСУ ТП


Заключение


9 базовых процесса защиты АСУ ТП

• Мониторинг и регистрация событий
Мониторинг и • Расследование и сбор доказательств
расследование • Обнаружение и оценка угроз

Управление • Управление рисками
рисками и • Управление уязвимостями
уязвимостями • SDLC

• Планирование непрерывности бизнеса
Реагирование и • Управление кризисом
непрерывность • Реагирование на инциденты


Как разработать свой стандарт?

 Специально для
разработки
отраслевых
стандартов
существует набор
рекомендаций,
которые должны
включаться (не
забываться) при
создании
собственного набора
требований по
безопасности АСУ ТП


Опыт в России есть! Надо только
начать!


Защита АСУ ТП - пора действовать

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (20)

Plus de Aleksey Lukatskiy

Plus de Aleksey Lukatskiy (20)

Защита АСУ ТП - пора действовать